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PCT 



REQUETE 



Le soussigne requiert que la presente demande 
Internationale soit traitee conformement au Traite de 
cooperation en matiere de brevets: 



Rdserve a I'ofTl^ecepteur 



Demande Internationale n° 



Date du depot international 



Nom de I'office recepteur et "Demande international PCT' 



Reference du dossier du deposant ou du mandataire (facultatij) 
(12 caracteresau maximum) PCT 3857/BC 



C ^t(6feDE^I^c!Uft\S^fif5i5 > &'UN ENSEMBLE ELECTRONIQUE DE CRYPTOGRAPHS A BASE 
D'EXPONENTIATION MODULAIRE CONTRE LES ATTAQUES PAR ANALYSE PHYSIQUE. 



Cadre n° 11 DEPOSANT 




i UM r indiq. 

n 'est indique ci-dessous.J 



□ Cette personne est aussi 
inventeur. 



BULL CP8 

68, route de Versailles 
BP 45 

78430 LOUVECIENNES 
FRANCE 



n° de telephone 



(33) 1 39.66.61.76 



n" de telecopieur 



(33) 1 39.66.61.73 



n° de teleimprimeur 



Nationality (nom de t'Etai) : 



FRANCE 



Domicile (nom de I'Etat) : FRANCE 



Cette personne es, Q &%^&JS&g □ g^**""** □ 



deposant pour : 



Cadre n° 111 AUTRE(S) PEPOSANT(S) OU (AUTRE(S)) lNVENTEUR(S) 




Nom et adresse : 
qfficielte compr 

I adresse indiq^y 

n 'est indique ci-dessous.J 

GOUBIN Louis 
3 rue Brown Sequard 
75015 PARIS 
FRANCE 



deposant t 



ion 

r -de 
\icile 



Cette personne est : 

| | ddposant seulement 

| deposant et inventeur 

| | inventeur seulement 
(Si cette case est cochee, 
ne pas remplir la suite.) 



Nationality (nom de l'Etat) : 



FRANCE 



Domicile (nom de l'Etat) : 



FRANCE 



Cette personne est 
deposant pour : 



□ □ i«EtaIs-Unisd'Amerique 



tousles iW^saur Q J- (Wh* d ' Am4 ^ uc Q £&"gg&SE? 



seulement 



| — [ D'autres deposants ou inventeurs sont indiques sur une feuille annexe. 



Cadre n° IV 



MANDATAIRE OU REPRESENTANT COMMUN; OU ADRESSE POUR LA CORRESPONPANCE 



i a nprsonne dont Tidentite est donnee ci-dessous est/a ete ddsignde pour agir au nom du ou [—J* ma ndataire I I representant commun 
des^osa^ts aupres des autorites international competentes, comme: 1 



Nom et adresse : 

BULL S.A 
CORLU Bernard 

PC58D20 / 68, route de Versailles 
F- 78434 LOUVECIENNES Cedex (FRANCE) 



n° de tdlephone 

(33) 1 39.66.61.76 



n° de tdlecopieur 

(33) 1 39.66.61.73 



n° de teleimprimeur 



■ — - — Ai . r(lcnftnH! , nf p . corker cette case lorsque aucun mandataire ni representant commun n*est/n'a €t€ designe 

□ ?^^*S5^^'!SS%S^^ ■Pfci'te * NueUe .a correspondance doit etre envoy*. 



FormulairePCT/RO/101 (premiere feuille) (jui"et 1998; reimpression Janvier 2000) 



Voir les notes relatives au formulaire de requite 
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Feuille n° 2 



Cadre n" V DESIGNATION D'ETATS 



Les designations suivanies sont faites confonTtcrrtl 
Brevet regional 
□ AP 



9 

cmcm £ 



a la regie 4.9.a) (cocher les cases appropriees; une au moins doit I 'etre) : 

LS Lesotho. M\V Malawi, SD Soudan, SL Sierra Leone, 



Brevet AR1PO : CH Ghana, <^ 



□ EA 



□ OA 



KE Kenya, 

SzTswaziland, TZ Republique-Uqi 

Protocolede ?»™* d " A7 AzerbaTdian BY Belarus, KG Kirghizistan. KZ Kazakhstan, MD Republique de Moldova, 

tOUt aUtrC ^ qUi ~ Un Etal COnlraCtanl ^ 13 COnVenUOn " 
le brevet eurasien et du PCT o..:„„ i :^ t ^c^o CY Chypre, DE Allemagne. 



AT Autriche, BE Belgique, CH et LI Suisse ct Liechtenstein 



v6 EP Brevet europeen 
^\ DK Danemark. 

LU Luxembourg, . 

Convention sur le brevet europeen et du I . 

° API : G fG^S in GN F G°uin^ ^SL^'^L^r^^-^ie. NE Niger, SN S«n*ga., 
TD T C chTd r TG Togo 2 tout 'JSH S qu!'cs^n gZnembre de TOAP. e, un E.at contractan. du PCT (si une autre fonne 

de protection ou de traitement est souhaitee. le preciser sw la hgne poinlillee) " .,',.'> ' 

BTevetn Jo n al (si une autre/ormede protection oudetraitementestsouha^ 



, u Pe„,.„ P Fl Finlande FR France, GB Royaumc-Uni. GR Grece, lE.Irlande, IT Italie, 

K, ^ S CM P on e aco; NL P^%™I2U SE Suede" e, tout autre Etat qui est un Etat contracts de .a 

CG Congo, CI Cote dMvoire, 



□ AE Emirats arabes unis 

□ AL Albanic 

□ AM Armenie 

□ AT Autriche 

□ AU Australic 

□ AZ Azerbaijan 

□ BA Bosnie-Hcrzegovinc 

□ BB Barbadc 

Q BG Bulgaric 

□ BR Bresil 

□ BY Belarus 

□ CA Canada 

□ CH et LI Suisse et Liechtenstein 

□ CN Chine 

□ CR Costa Rica 

□ CU Cuba 

□ CZ Republique tcheque 

□ DE Allemagne 

□ DK Danemark . 

□ DM Dominique 

□ EE 

□ ES 

□ FI 

□ GB 

□ GD 

□ GE 

□ GH 

□ GM 

□ •HR 

□ HU 

□ ID 

□ IL 

□ IN 

□ IS 

ITZTjp 

□ KE 

□ KG 

□ KP 



Estonie 

Lspagne 

Finlande • • • 

Royaume-Uni 
Grenade 

Georgic 

Ghana 

Gambic 

Croat ie 

Hongric - * 

lndonesie 

Israel 

Inde 

Islandc 

Japon 

Kenya 

Kirghizistan . . . 

Republique populaire democratique de 



□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 

□ 



LR Liberia 

LS Lesotho • 

LT Lituanie 
LU Luxembourg 
LV Lettonie 

MA Maroc . . - 

MD Republique de Moldova 

MG Madagascar 

MK Ex-Republique yougoslave de Macedoine 



MN Mongolie 

MW Malawi 

MX Mexique 

Norvege 

Nouvelle-Zelande 

Pologne 

Portugal 

Roumanic 

Federation de Russie 

Soudan 
Suede 
Singapour 

Slovenie 

Slovaquie 

Sierra Leone 

Tadjikistan 

Turkmenistan 

Turquie 

Trinite-et-Tobago 

Republique-Unie de Tanzanie 

Ukraine . . 

Ouganda 

Etats-Unis d'Amerique 



NO 

NZ 

PL 

PT 

RO 

RU 

SD 

SE 

SG 

SI 

SK 

SL 

TJ 

TM 

TR 



TZ 
UA 
UG 
US 



Coree 



□ 
□ 
□ 
□ 
□ 



UZ 
VN 
YU 
ZA 
ZW 



Ouzbekistan . . . 

Viet Nam 

Yougoslavie . . , 
Afrique du Sud 
Zimbabwe 



□ KR 

□ KZ 

□ LC 

□ LK 



R^nubliaue de Coree Cases reservees pour la designation d' Etats gui sont devenus parties 

Republique ae ^oree .... ^ pcT ^ pub|icalion de |a pre5 ente feuille : 



Kazakhstan 
Sainte-Lucie 
Sri Lanka 

Declaration concernant les designations de precau 
doit parveniral office recepteurdans le delai de 15 mots.) 



□ 
□ 

lution outre les designations faites ci-dessus, Icd6posamfaitaussi conform6ment 

faites sous 



Formulaire PCT/RO/101 (deuxieme feuille) (janvier 2000) 



Voir les notes relatives au formulaire de requite 
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Feuille n° 3 



Cadre n' VI REVENDICATION D 



m 



RITE 



□ 



D' 
in 



revendications de priorite sonl 
s dans le cadre supplgmentaire. 



Date de depot 
de la demande anterieure 
(jonr/mois/annee) 


Numero 
de la demande anterieure 


Lorsque la demande anterieure est une : 


demande nationale : 
pays 


demande rggionale :* 
office regional 


demande Internationale : 
office recepteur 


(1) 28 octobre 1999 
(28.10.1999) 


99 13507 


FRANCE 






(2) 










(3) 











0 



'office recepteur est prie de preparer et de transmettre au Bureau international une copie certifi6e conforme de la ou des demandes 
anteneures (settlement si la demande anterieure a ete deposee aupres de I 'office qui, auxflns de 
la presente demande Internationale, est I 'office recepteur) indiquees ci-dessus au(x) point(s) : i 



♦ Si la demande anterieure est une demande ARJPO. it est obligatoire d'indiquer dans le cadre supplementaire au mains unjxys partie a la Convention 
de PwiVpouVla protection de la propriete industrielle pour iequel cette demande anterieure a ete deposee (regie 4.10.b)n)). Voir le cadre supplementaire. 



Cadre n" VII ADMINISTRATION CHARGEE DE LA RECHERCHE INTERNATIONALE 



Choix de ^administration chargee de la recherche 
Internationale (ISA) (si plusieurs administrations 
chargees de la recherche Internationale sont competentes 
pour proceder a la recherche Internationale, indiquer 
V administration choisie; le code a deux lettres peut etre 
utilise) : 

ISA/ 



Demande d' utilisation des res u I tats d'une recherche anterieure; mention de 
cette recherche (si une recherche anterieure a ete effectuee par I 'administration 
chargee de la recherche Internationale ou demandee a cette derniere) : 

Date (jour/mois/annee) Numero Pays (ou office regional) 

28.10.99 99 13507 FR 

FA 583151 



Cadre n° VIII BORDEREAU; LANGUE DE DEPOT 



La presente demande international contient 
le nombre de feu i lies suivant ; 



requete 

description (sauf partie reservee 
au listage des sequences) 

revendications 

abreg£ 

dessins 

partie de la description r6serv6e 
au listage des sequences 

Nombre total de feuilles 



03 
10 

02 
01 

01 



17 



Le ou les elements cochds ci-apres sont joints a la prdsente demande internationale : 

1 . □ feuille de calcul des taxes 

2. □ pouvoir distinct signiS - 

3. □ copie du pouvoir general; numero de rdference, le cas echeant : 

4. □ explication de l'absence d'une signature 

5. H document(s) de priority indiqueXs) dans le cadre n° VI au(x) point(s) : 1 

6. □ traduction de la demande internationale en (langue) : 

7. Q indications s^parees concernant des micro-organ ismes ou autre materiel 

biologique deposes 

8. □ listage des sequences de nucleotides ou d'acides amines sous forme 



dechiffrable par ordinateur 
9.. g autres dlements (precise r) : 



Figure des dessins qui 
doit accompagner Tabregg : 



Langue de d£pdt de la 

demande internationale : 



Rapport de Recherche FA 583 1 5 1 
FR ACHATS 



Cad re n° IX SIGNATURE DU DEPOSANT OU DU MANDATA IRE 

A cote de chaque signature, indiquer le nam du signataire et, si cela n 'apparait pas clairement a la lecture de la requete, a quel titre I interesse signe 



Bernard (mandataire) 




1. Date effective de reception des pieces supposes 
constituer la demande internationale : 


2. Dessins : 
| | recus : 

| | non recus : 


3 Date effective de reception, rectifiee en raison de la reception ultd- 
rieure, mais dans les dilais, de documents ou de dessins compliant ce 
qui est suppose constituer la demande internationale : 


4 Date de reception, dans les d£Iais, des corrections 
demandees selon Particle 1 1 .2) du PCT : 


5. Administration charged de la recherche . . 
internationale (si plusieurs sont competentes) : ' 


6. 1 I Transmission de la copie de recherche differee 
1 * jusqu'au paiement de la taxe de recherche. 


1 Date de reception de rexemplaire 
I original par le Bureau international : 
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TRAITE D 



• 



OPERATION EN MATIER 



BREVETS 



PCT/FR00/02978 



PCT 



NOTIFICATION DE LA RECEPTION DE 
L'EXEMPLAIRE ORIGINAL 

(regie 24.2.a) du PCT) 



Expediteur: le BUREAU INTERWAJtlQNi^la 

: ; rruuiliiu! luuuimutUlfi 

Destinataire: 



BULL S.A. 
Corlu, Bernard 
PC58D20 

68, route de Versailles 
F-78434 Louveciennes cedex 
FRANCE 



12 DEC. 2000/^ 
BULLS A. " 



Date d'expedition (jour/mois/annee) 
22 novembre 2000 (22.11.00) 


NOTIFICATION IMPORTANTE 


Reference du dossier du deposant ou du mandataire 
PCT 3857/BC 


Demande Internationale no 
PCT/FR00/02978 



II est notifie au deposant que le Bureau international a regu I'exemplaire original de la demande internationale precisee 
ci-apres. 

Nom(s) du ou des deposants et de I'Etat ou des Etats pour lesquels ils sont deposants: 

BULL CP8 (pour tous les Etats design6s sauf US) 
GOUBIN, Louis (pour US seulement) 

26 octobre 2000 (26. 1 0.00) 
28 octobre 1999 (28.10.99) 



Date du d6pot international 

Date(s) de priorite revendiqu£e(s) 

Date de reception de i'exemplaire original 
par le Bureau international 

Liste des offices designes 



16 novembre 2000 (16.11.00) 



EP lAT^E^H^DE^K^S^LFR^B^RJE^T^U^MaNL^T^E 
National :JP,US 



ATTENTION 

Le deposant doit soigneusement verifier les indications figurant dans la presente notification. En cas de divergence entre ces 
indications et celles que contient la demande internationale, il doit aviser immediatement le Bureau international. 

En outre, I'attention du deposant est appelee sur les renseignements donnes dans I'annexe en ce qui concerne 



| X | les delais dans lesquels doit etre abordee la phase nationale 

| X | la confirmation des d6signations faites par mesure de precaution 

| X | les exigences relatives aux documents de priorite. 



Une copie de la presente notification est envoyee a I'office recepteur et a radministration chargee de la recherche internationale. 





Fonctionnaire autorise 


Bureau international de I'OMPI 


Jocelyne Rey-Milfet t \f 




34, chemin des Colombettes 




1211 Geneve 20, Suisse 




n* det6l§copieur (41-22) 740.14.35 


n de telephone (41 -22) 338.83.38 (J 





Formulaire PCT/IB/301 Ouillet 1998) 003674316 



AT 
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ANNEXE DU FHRULAIRE PCT/IB/301 



tde Internationale no 
PCT/FR00/02978 



RENSEIGNEMENTS CONQERNANT LES DELAIS DANS LESQUELS DOIT ETRE ABORDEE 

LA PHASE NATIONALE 



II est rappele au deposant qu'il doit aborder la "phase nationale" auprds de chacun des offices designes indiques sur la 
notification de la reception de I'exemplaire original (formulaire PCT/IB/301) en payant les taxes nationales et en remettant les 
traductions, telles qu'elles sont prescrites par les legislations nationales. 

Le delai d'accomplissement de ces actes de procedure est de 20 MOIS a compter dela date de priorite ou, pour les Etats 
designes qui ont ete elus par le deposant dans une demande d'examen preliminaire international ou dans une election ulterieure, 
de 30 MOIS a compter de la date de priorite, a condition que cette electionait ete effectuee avant ('expiration du 19e mois a 
compter de la date de priorit6. Certains offices designes (ou elus) ont fix6 des delais qui expirent au-dela de 20 ou 30 mois a 
compter de la date de priorite. D'autres offices accordent une prolongation des delais ou un delai de grace, dans certains cas 
moyennant le paiement d'une taxe supplemental. 

En plus de ces actes de procedure, le deposant devra dans certains cas satisfaire a d'autres exigences particulieres 
applicables dans certains offices. II appartient au deposant de veiller a remplir en temps voulu les conditions requises pour 
I'ouverture de la phase nationale. La majorite des offices designes n'envoient pas de rappel a I'approche de la date limite pour 
aborder la phase nationale. 

Des informations detaillees concernant les actes de procedure a accompli r pour aborder la phase nationale a u ores de 
chaque office designe, les delais applicables et la possibility d'obtenir une prolongation des delais ou un delai de grace et toutes 
a utres conditions applicables figurent dans le volume II du Guide du deposant du PCT. Les exigences concernant le depot d'une 
demande d'examen preliminaire international sont exposees dans le chapitre IX du volume I du Guide du deposant du PCT. 

GRet ES sont devenues liees par le chapitre II du PCT le 7 septembre 1996 et le 6 septembre1997, respectivement, et 
peuvent done etre elues dans une demande d'examen preliminaire international ou dans une election ulterieure presentee le 7 
septembre 1996 (ou a une date posterieure) ou le 6 septembre 1997 (ou d une date posterieure), respectivement, quelle que soit 
la date de depot de la demande internationale (voir le second paragraphe, ci-dessus). 

Veuillez noter que seul un deposant qui est ressortissant d'un Etat contractant du PCT lie par le chapitre II ou qui y a 
son domicile peut presenter une demande d'examen preliminaire international. 



CONFIRMATION DES DESIGNATIONS FAITES PAR MESURE DE PRECAUTION 



Seules les designations expresses faites dans la requete conformement a la regie 4.9.a) figurent dans la presente 
notification. II est important de verifier si ces designations ont ete faites correctement. Des erreurs dans les designations peuvent 
etre corrigees lorsque des designations ont ete faites par mesure de pr6caution en vertu de la regie 4.9.b). Toute designation 
ainsi faite peut etre confirmee conformement aux dispositions de la regie 4.9.c) avant I'expiration d'un delai de 15 mois a 
compter de la date de priorite. En I'absence de confirmation, une designation faite par mesure de precaution sera consideree 
comme retiree par le deposant. II ne sera adresse aucun rappel ni invitation. Pour confirmer une designation , il faut deposer une 
declaration precisant I'Etat designe concerne (avec ('indication de la forme de protection ou de traitement souhaitee) et payer les 
taxes de designation et de confirmation. La confirmation doit parvenir a I'office recepteur dans le delai de 15 mois. 



EXIGENCES RELATIVES AUX DOCUMENTS DE PRIORITE 

Pour les deposants qui n'ont pas encore satisfait aux exigences relatives aux documents de priorite, il est rappele ce qui 

suit. 

Lorsque la priorite d'une demande nationale, regionale ou internationale anterieure est revendiquee, le deposant doit 
presenter une copie de cette demande anterieure, certifiee conforme par ('administration aupres de laquelle elle a ete deposee 
("document de priorite"), a I'office recepteur (qui la transmettra au Bureau international) ou directement au Bureau international, 
avant I'expiration d'un delai de 1 6 mois a compter de la date de priorite, etant entendu que tout document de priorite peut etre 
presente au Bureau international avant la date de publication de la demande internationale, auquel cas ce document sera repute 
avoir ete regu par le Bureau international le dernier jour du delai de 16 mois (regie 17.1. a)). 

Lorsque le document de priorite est delivre par I'office recepteur, le deposant peut au lieu de presenter ce document, 
demander a I'office recepteur de le preparer et de le transmettre au Bureau international. La requete £ cet effet doit etre 
formulee avant r expiration du delai de 16 mois et peut etre soumise au paiement d'une taxe (regie 17.1.b)). 

Si le document de priorite en question n'est pas fourni au Bureau international, ou si la demande adressee § I'office recepteur 
de preparer et de transmettre le document de priorite n'a pas ete faite (et la taxe correspondante acquittee, le cas echeant) 
avant I'expiration du delai applicable mentionne aux paragraphes precedents, tout Etat designe peut ne pas tenir compte 
de la revendication de priorite; toutefois, aucun office d6signe ne peut decider de ne pas tenir compte de la revendication de 
priorite avant d'avoir donne au deposant la possibility de remettre le document de priorite dans un delai raisonnable en I'espdce. 

Lorsque plusieurs priorites sont revendiquees, la date de priorite a prendre en consideration aux fins du calcul du delai de 
16 mois est la date du depot de la demande la plus ancienne dont la priorite est revendiquee. 



Formulaire PCT/IB/301 (annexe) (juillet 1998) 



003674316 



THIS PAGE BUHKOBW) 



TRAITE DEflfcOPERATION EN MATIERE^ BREVETS 



WO 01/31436 
PCT/FR00/02978 



Expediteur: le BUREAU INTERNATIONAL 



PCT 

AVIS INFORMANT LE DEPOSANT DE LA 
COMMUNICATION DE LA DEMANDE 
INTERNATIONALE AUX OFFICES DESIGNES 

(regie 47.1.c), premiere phrase, du PCT) 



Date d'expedition (jour/mois/ann6e) 
03 mai 2001 (03.05.01) 



Destinataire: 
BULL S.A. 
Corlu, Bernard 
PC58D20 

68, route de Versailles 
F-78434 Louveciennes cedex 
FRANCE 



Reference du dossier du deposant ou du mandataire 
PCT 3857/BC 


AVIS IMPORTANT 


Demande intemationale no 
PCT/FROO/02978 


Date du depot international (jour/mois/annee) 

26 octobre 2000 (26.10.00) 


Date de priorite (jour/mois/annee) 
28 octobre 1999 (28.10.99) 


Deposant 

BULL CP8 etc 



1. II est notifie par la presente qu'a la date indiquee ci-dessus comme date d'expedition de cet avis, le Bureau international a 
communique, comme le prevoit I'article 20, la demande intemationale aux offices designes suivants: 

US 

Conformement a la regie 47.1. c), troisieme phrase, ces offices acceptent le present avis comme preuve determinants 
du fait que la communication de la demande intemationale a bien eu lieu a la date d'expedition indiquee plus haut, et le 
deposant n'est pas tenu de remettre de copie de la demande intemationale a I'office ou aux offices designes. 

2. Les offices designes suivants ont renonce a Pexigence selon laquelle cette communication doit etre effectuee a cette date: 

EP,JP 

La communication sera effectuee seulement sur demande de ces offices. De plus, le deposant n'est pas tenu de remettre 
de copie de la demande intemationale aux offices en question (regie 49.1)a-bis)). 

3. Le present avis est accompagne d'une copie de la demande intemationale publiee par le Bureau international le 
03 mai 2001 (03.05.01) sous le numero WO 01/31436 

RAPPEL CONCERNANT LE CHAPITRE II {article 31.2)a) et regie 54.2) 

Si le deposant souhaite reporter I'ouverture de la phase nationale jusqu'a 30 mois (ou plus pour ce qui concerne certains 
offices) a compter de la date de priorite, la demande d'examen preliminaire international doit etre presentee a 
('administration competente chargee de I'examen preliminaire international avant I'expiration d'un delai de 19 mois a 
compter de la date de priorite. 

II appartient exclusivement au deposant de veiller au respect du delai de 19 mois. 

II est a noter que seul un deposant qui est ressortissant d'un Etat contractant du PCT lie par le chapitre II ou qui y a son 
domicile peut presenter une demande d'examen preliminaire international. 

RAPPEL CONCERNANT L'OUVERTURE DE LA PHASE NATIONALE (article 22 ou 39.1)) 

Si le deposant souhaite que la demande intemationale precede en phase nationale, il doit, dans le delai de 20 mois ou 
de 30 mois, ou plus pour ce qui concerne certains offices, accomplir les actes mentionnes dans ces dispositions aupres 
de chaque office designe ou elu. 

Pour d'autres informations importantes concernant les delais et les actes a accomplir pour I'ouverture de la phase 
nationale, voir Tannexe du formulaire PCT/IB/301 (Notification de la reception de I'exemplaire original) et le volume II 
du Guide du deposant du PCT. 





Fonctionnaire autorise 




Bureau international de I'OMPI 






34, chemin des Colombettes 


J. Zahra 




1211 Geneve 20, Suisse 






no de telecopieur (41-22) 740.14.35 


no de telephone (41-22) 338.83.38 




Formulaire PCT/IB/308 (juillet 1996) 
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PROCEDE DE SECURISATION D'UN ENSEMBLE ELECTRONIQUE 
DE CRYPTOGRAPHIE A BASE D 'EXPONENTIATION MODULAIRE 
CONTRE LES ATTAQUES PAR ANALYSE PHYSIQUE 

5 La presente invention conceme un procede de securisation d'un ensemble 
electronique mettant en oeuvre un algorithme faisant intervenir une exponentiation 
modulaire, dans laquelle 1'exposant est secret. Plus precisement, le procede vise a 
realiser une version d'un tel algorithme qui ne soit pas vulnerable face a un certain 
type d' attaques physiques - dites « analyse d'energie electrique differentielle ou 
10 analyse d'energie electrique differentielle de haut niveau » (Differential Power 
Analysis ou High-Order Differential Power Analysis, en langage anglo-saxon, en 
abrege DPA ou HO-DPA) - qui cherchent a obtenir des informations sur la cle 
secrete a partir de r etude de la consommation electrique de 1' ensemble electronique 
au cours de 1' execution du calcul. 

15 

Les algorithmes cryptographiques consideres ici utilisent une cle secrete pour calculer 
une information de sortie en fonction d'une information d'entree ; il peut s'agir d'une 
operation de chiffrement, de dechiffrement ou de signature ou de verification de 
signature, ou d'authentification ou de non-repudiation ou d'echange de cle. lis sont 
20 constants de maniere a ce qu'un attaquant, connaissant les entrees et les sorties, ne 
puisse en pratique deduir^ aucune information sur la cle secrete elle-meme. 

On s'interesse done a une classe plus large que celle traditionnellement designee par 
Fexpression algorithmes a cle secrete ou algorithmes symetriques. En particulier, 
25 tout ce qui est decrit dans la presente demande de brevet s'applique egalement aux 
algorithmes dits a cle publique ou algorithmes asymetriques y qui component en fait 
deux cles : Tune publique, et Tautre, privee, non divulguee, cette derniere etant celle 
visee par les attaques decrites ci-dessous. 

30 Les attaques de type Analyse de Puissance Electrique, developpees par Paul Kocher 
et Cryptographic Research (Confer document Introduction to Differential Power 
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Analysis and related Attacks by Paul Kocher, Joshua Jaffe, and Benjamin Jun, 
Cryptography Research, 870 Market St., Suite 1008, San Francisco, CA 94102, 
edition du document HTML a 1'adresse URL : 

http://www,cryptography.com/dpa/technic^lylndex.htmI) partent de la constatation 
5 qu'en realite Tattaquant peut acquerir des informations, autres que la simple donnee 
des entrees et des sorties, lors de 1' execution du calcul, comme par exemple la 
consommation electrique du microcontroleur ou le rayonnement electromagnetique 
emis par le circuit. 

10 L'analyse d'energie electrique differentielle est une attaque permettant d'obtenir des 
informations sur la cle secrete contenue dans Tensemble electronique, en effectuant 
une analyse statistique des enregistrements de consommation electrique efFectues sur 
un grand nombre de calculs avec cette meme cle. 



15 Cette attaque ne necessite aucune connaissance sur la consommation electrique 
individuelle de chaque instruction, ni sur la position dans le temps de chacune de ces 
instructions. Elle s* applique de la meme maniere si on suppose que l'attaquant 
connait des sorties de Palgorithme et les courbes de consommation correspondantes. 
Elle repose uniquement sur Thypothese fondamentale selon laquelle : 

20 

Hvpothes e fondamentale : II existe une variable intermediate, apparaissant dans le 
cours du calcul de Valgorithme, telle que la connaissance de quelques bits de cle, en 
pratique moins de 32 bits, permet de decider si deux entrees, respectivement deux 
sorties, donnent ou non la meme valeur pour cette variable. 

25 

Les attaques dites par analyse d^nergie electrique de haut niveau sont une 
generalisation de Fattaque DPA decrite precedemment. Elles peuvent utiliser 
plusieurs sources d'information differentes : outre la consommation, elles peuvent 
mettre en jeu les mesures de rayonnement electromagnetique, de temperature, etc. et 
30 mettre en oeuvre des traitements statistiques plus sophistiques que la simple notion de 
moyenne, des variables intermediaires moins elementaires qu'un simple bit ou un 
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simple octet. Neanmoins, elles reposent exactement sur la meme hypothese 
fondamentale que la DP A. 

Le procede, objet de la presente invention, a pour objet la suppression des risques 
5 d'attaques DPA ou HO-DPA d'ensembles ou systemes electroniques de cryptographie 
a cle secrete ou privee, faisant intervenir une exponentiation modulaire, dans laquelle 
Texposant est secret. 

Un autre objet de la presente invention est en consequence une modification du 
10 processus de calcul crypt ographique mis en oeuvre par les systemes electroniques de 
cryptographie proteges de maniere que l'hypothese fondamentale precitee ne soit plus 
verifiee, a savoir qu'aucune variable intermediate ne depend de la consommation d'un 
sous-ensemble aisement accessible de la cle secrete ou privee, les attaques de type 
DPA ou HO-DPA etant ainsi rendues inoperantes. 

15 

Premier exemple : Palgorithme RSA 

Le RSA est le plus celebre des algorithmes cryptographiques asymetriques. II a ete 
developpe par Rivest, Shamir et Adleman en 1978. Pour une description plus 
20 detaillee de cet algorithme, on pourra utilement se reporter au document ci-apres : 

• R.L. Rivest, A Shamir, L.M. Adleman, A Method for Obtaining Digital 
Signatures and Public-Key Cryptosy stems ^ Communications of the ACM, 21, n°2, 
1978, pp. 120-126, 

ou aux documents suivants : 
25 • ISO/EEC 9594-8/ITU-T X.509, Information Technology - Open Systems 
Interconnection - The Directory: Authentication Framework^ 

• ANSI X9.31-1, American National Standard, Public-Key Cryptography Using 
Reversible Algorithms for the Financial Services Industry, 1993; 

• PKCS #1, RSA Encryption Standard, version 2, 1998, disponible a Tadresse 
30 suivante : 

ftp : //ftp . rsa. com/pub/pkcs/doc/pkcs- 1 v2 . doc. 



WO 01/31436 




PCT/FROO/02978 



4 

L'algorithme RSA utilise un nombre entier n qui est le produit de deux grands 
nombres premiers p et q 9 et un nombre entier e 9 premier avec ppcm(p-l,q-l) y et tel 
que e * ± 1 mod ppcm(p-l 9 q~l). Les entiers n et e constituent la cle publique. Le 
5 calcul en cle publique fait appel a la fonction g de Z/nZ dans Z/nZ definie par g(x)=x e 
mod /?. Le calcul en cle secrete fait appel a la fonction g*(y)=y d mod n y ou d est 
Texposant secret (appele aussi cle secrete, ou privee) defini par ed s 1 mod ppcm(p- 

1 0 Les attaques de type DP A ou HO-DP A font peser une menace sur les mises en oeuvre 
classiques de Talgorithme RSA. En effet , celles-ci utilisent tres souvent le principe 
dit de square and multiply en langage anglo-saxon pour effectuer le calcul de mod 

n. 

15 Ce principe consiste a ecrire la decomposition 

d = b^r^T 1 + b^2r 2 + ... + b r 2 l + b 0 -2° 

de Texposant secret d en base 2, puis d'effectuer le calcul de la maniere suivante : 
20 l.z<^7; 

pour / allant de m-1 jusqu'a 0 faire : 

2. z mod n \ 

3. si bi = 1 alors z <—z xx mod w. 

25 Dans ce calcul, on constate que parmi les valeurs successives prises par la variable z, 
les premieres ne dependent que de quelques bits de la cle secrete d. L'hypothese 
fondamentale permettant Tattaque DP A est done realisee. On peut ainsi deviner par 
exemple les 10 bits de pcids fort de d en s'interessant aux mesures de consommation 
sur la partie de ralgorithine correspondant a / allant de w-7 a m-10. On peut ensuite 

30 continuer Tattaque cn utilisant les mesures de consommation sur la partie de 
Falgorithme correspondant a / allant de m-11 a m-20, ce qui permet de trouver les 10 
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bits suivants de d % et ainsi de suite. On trouve finalement tous les bits de l'exposant 
secret d. 

Une premiere methode de securisatiom et ses inconvenients 

5 

Une methode classique (proposee par Ronald Rivest en 1995) pour proteger 
l'algorithme RSA contre les attaques de type DPA consiste a utiliser un principe de 
" blinding 99 (camouflage). On utilise le fait que : 

10 x d modn - (x xf)* xf* modn 



Ainsi le calcul de,y = xdmodn se decompose en quatre etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur r ; 

• On calcule : u = x x r mod n ; 
15 • On calcule : v = u d modn ; 

• On calcule : y = v xf 1 modn. 



L 5 inconvenient de cette methode est qu'elle oblige, pour chaque calcul, a calculer 
Tinverse modulaire r 1 de la valeur aleatoire r, cette operation etant en general 

20 couteuse en temps (la duree d'un tel calcul est du meme ordre que celle d'une 
exponentiation modulaire telle que u d mod n). Par consequent, cette nouvelle 
implementation (protegee contre les attaques DPA) du calcul de x? modn est environ 
deux fois plus lente que T implementation initiale (non protegee contre les attaques 
DPA). En d'autres termes, cette protection du RSA contre les attaques DPA accrolt 

25 le temps de calcul de 100% environ (en supposant que l'exposant public e est tres 
petit, par exemple e=5 ; si l'exposant e est plus grand, ce temps de calcul est encore 
plus grand). 



Une deuxieme methode : le procede de la presente invention 

30 
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Selon Finvention, un precede de securisation d'un ensemble electronique mettant en 
oeuvre un processus de calcul cryptographique faisant intervenir une exponentiation 
modulaire d'une grandeur (ji^, ladite exponentiation modulaire utiiisant un exposant 
secret (d) y est caracterise en ce que Fon decompose ledit exposant secret en une 

5 pluralite de k valeurs imprevisibles (d 2 ,d 2 , ,d k ) dont la somme est egale audit 

exposant secret. 

Avantageusement, lesdites valeurs (d s ,d 2 , d k ) sont obtenues de la maniere 

suivante : 

10 a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere va!eur est obtenue par difference entre r exposant secret et les (k- 
1) valeurs. 

Avantageusement, le calcul de F exponentiation modulaire est effectue de la maniere 
15 suivante : 

a) pour chacune desdites k valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

b) on calcule un produit des resultats obtenus a Fetape a). 

20 

Avantageusement, au moins Fune desdites (k-J) valeurs obtenues au moyen d'un 
generateur aleatoire a une longueur superieure ou egale a 64 bits. 

Des details et avantages de la presente invention apparaftront au cours de la 
25 description suivante de quelques modes d' execution preferes mais non iimitatifs, en 
regard de la figure unique annexee, representant une carte a puce. 

Selon Finvention, on utilise le fait que : 



30 si d = d t + d 2 , alorsxf* modn = x* 1 xx 2 mod ti 
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Ainsi le calcul dey = x^mod n se decompose en cinq etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur dj ; 

• On calcule : d 2 = d- dj ; 

• On calcule :u =x* ! modn ; 
5 • On calcule : v = x 2 mod n ; 

• On calcule : y = u x v mod n. 

L'avantage est que, de cette maniere, il n*y a pas d'inverse modulaire a calculer. En 
general, le temps de calcul d'une exponentiation modulaire est proportionnel a la 
1 0 taille de 1'exposant. Ainsi si on note a le rapport entre la taille de dj et la taille de d 2j 
on se rend compte que le temps total du calcul dans cette nouvelle implementation 
(protegee contre les attaques DP A) est environ (J+a) fois le temps de calcul dans 
rimplementation initiate (non protegee contre les attaques DP A). 

15 Notons que, pour obtenir une valeur d } non predictible, il est necessaire que sa taille 
soit au moins de 64 bits. 

Le procede ainsi decrit rend inoperantes les attaques de type DPA ou HO-DPA 
decrites precedemment. En efFet, pour decider si deux entrees (respectivement deux 

20 sorties) de Talgorithme donnent ou non la meme valeur pour une variable 
intermediate apparaissant au cours du calcul, il ne suffit plus de connaitre les bits de 
cle mis en jeu. II faut egalement connaitre la decomposition de la cle secrete d en k 
valeurs d u d 2 , du telles que d=dj+d 2 + ...+d k . Si on suppose que cette 
decomposition est secrete, et qu'au moins une des k valeurs a une taille d'au moins 

25 64 bits, Pattaquant ne peut pas prevoir les valeurs de du et done Thypothese 

fondamentale, qui permettait de mettre en ceuvre une attaque de type DPA ou HO- 
DPA, n'est plus verifiee. 



Exemples 
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1 . Si /? a une longueur de 512 bits, en choisissant de prendre une valeur aleatoire di 
de 64 bits, on obtient ar=//», ce qui fait que cette protection du RSA contre les 
attaques DPA accroit le temps de calcul de 12.5 % environ. 

2. Si n a une longueur de 1024 bits, en choisissant de prendre une valeur aleatoire dj 
5 de 64 bits, on obtient a=//V6, ce qui fait que cette protection du RSA contre les 

attaques DPA accroit le temps de calcul de 6.25% environ. 

Deuxieme exempt e : r algorithm e de Rabin 

10 Nous considerons ici Palgorithme cryptographique asymetrique developpe par Rabin 
en 1979. Pour une description plus detaillee de cet algorithme, on pourra utilement se 
reporter au document smvant : 

• M O. Rabin, Digitized Signatures and Public-Key Functions as Intractable as 
Factorization, Technical Report LCS/TR-212, M I T. Laboratory for Computer 

15 Science, 1979. 

L' algorithme de Rabin utilise un nombre entier n qui est le produit de deux grands 
nombres premiers p et q, verifiant en outre les deux conditions suivantes : 

• p est congru a 3 modulo 8 ; 
20 • q est congru a 7 modulo 8. 

Le calcul en cle publique fait appel a la fonction g de Z/nZ dans Z/nZ definie par 
g(x)=x 2 mod n. Le calcu! en cle secrete fait appel a la fonction g l (y)=}f mod w, ou d 
est Texposant secret (appele aussi cle secrete, ou privee) defini par d=((p-l)(q- 
l)/4+l)/2. 

25 

La fonction mise en jeu par le calcul en cle secrete etant exactement la meme que 
celle utilisee par Talgorithme RSA, les memes attaques DPA ou HO-DPA sont 
applicables et font peser les memes menaces sur Falgorithme de Rabin. 



30 Securisation de Palgorithme 
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Comme la fonction est exactement la meme que celle du RSA, le precede de 
securisation decrit dans le cadre du RSA s' applique de la meme maniere au cas de 
1'algorithme de Rabin. L'accroissement du temps de calcul provoque par r application 
de ce precede est egalement le meme que dans le cas de 1'algorithme RSA. 



L' invention peut etre mise en oeuvre dans tout ensemble electronique 
effectuant un calcul cryptographique faisant intervenir une exponentiation modulaire, 

1 0 notamment une carte a puce 8 selon la figure unique. La puce inclut des moyens de 
traitement de l'information 9, relies d'un cote a une memoire non volatile 10 et a une 
memoire volatile de travail RAM 1 1, et relies d'un autre cote a des moyens 12 pour 
cooperer avec un dispositif de traitement de 1' information. La memoire non volatile 
10 peut comprendre une partie non modifiable ROM et une partie modifiable 

15 EPROM, EEPROM, ou constituee de memoire RAM du type "flash" ou FRAM 
(cette derniere etant une memoire RAM ferromagnetique), e'est-a-dire presentant les 
caracteristiques d*une memoire EEPROM avec en outre des temps d'acces identiques 
a ceux d'une RAM classique. 

20 En tant que puce, on pourra notamment utiliser un microprocesseur 

autoprogrammable a memoire non volatile, tel que decrit dans le brevet americain n° 
4.382.279 au nom de la Demanderesse. Dans une variante, le microprocesseur de la 
puce est remplace - ou tout du moins complete - par des circuits logiques implantes 
dans une puce a semi-conducteurs. En effet, de tels circuits sont aptes a efFectuer 

25 des calculs, notamment d'authentification et de signature, grace a de Felectronique 
cablee, et non microprogrammee. lis peuvent notamment etre de type ASIC (de 
l' anglais « Application Specific Integrated Circuit »). Avantageusement, la puce sera 
con?ue sous forme monclithique. 

30 Dans le cas de I'utilisation d'un tel ensemble electronique, Tinvention consiste en un 
procede de securisation d'un ensemble electronique comprenant des moyens de 
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traitement d'information et des moyens de memorisation d'information, le precede 
mettant en ceuvre un processus de calcul cryptographique faisant intervenir une 
exponentiation modulate d'une grandeur (x) stockee dans les moyens de 
memorisation d'information, ladite exponentiation modulaire utilisant un exposant 
5 secret (d) stocke dans les moyens de memorisation, caracterise en ce que Ton 
decompose, grace auxdits moyens de traitement d'information, ledit exposant secret 
lu dans lesdits moyens de memorisation d'information en une pluralite de k valeurs 

imprevisibles (dj t d 2 , ,d k ) dont la somme est egale audit exposant secret, lesdites 

k valeurs imprevisibles etant stockees dans les moyens de memorisation 
1 0 d'information. 

Avantageusement, lesdites valeurs (d t ,d 2 ,d k ) sont obtenues de la maniere 

suivante : 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire et stockees 
1 5 dans les moyens de memorisation d'information ; 

b) la derniere valeur est obtenue par difference entre F exposant secret et les (k- 
1) valeurs, calculee grace auxdits moyens de traitement d'information. 

Avantageusement, le calcul de F exponentiation modulaire est effectue de la maniere 
20 suivante : 

a) pour chacune desdites k valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

b) on calcule un produit des resultats obtenus a Fetape a). 

25 

Avantageusement, au moins Fune desdites (k-1) valeurs obtenues au moyen d'un 
generateur aleatoire a une longueur superieure ou egale a 64 bits. 
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REVENDICATIONS 

1. Procede de securisation d'un ensemble electronique mettant en oeuvre un 
processus de calcul cryptographique faisant intervenir une exponentiation modulaire 

5 d'une grandeur (x), ladite exponentiation modulaire utilisant un exposant secret (d), 
caracterise en ce que Ton decompose ledit exposant secret en une pluralite de k 
valeurs imprevisibles (d } ,di d k ) dont la somme est egale audit exposant secret. 

2. Procede selon la revendication 1, caracterise en ce que lesdites valeurs (d } & 
10 , du) sont obtenues de la maniere suivante : 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere valeur est obtenue par difference entre P exposant secret et les (k- 
J) valeurs. 

15 3. Procede selon la revendication 1, caracterise en ce que le calcul de 
Pexponentiation modulaire est effectue de la maniere suivante : 
a) pour chacune desdites k valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

20 b) on calcule un produit des resultats obtenus a l'etape a). 

4. Procede selon la revendication 1, caracterise en ce qu'au moins Tune desdites (k- 
1) valeurs obtenues au moyen d'un generateur aleatoire a une longueur superieure ou 
egale a 64 bits. 

25 

5. Utilisation du procede selon la revendication 1 dans une carte a puce comportant 
des moyens de traitement de Tinformation. 

6. Utilisation du procede selon la revendication 1 pour la securisation d'un 
30 processus de calcul cryptographique utilisant Talgorithme RSA. 
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7. Utilisation du precede selon la revendication 1 pour la securisation d'un 
processus de calcul cryptographique utilisant Palgorithme de Rabin. 
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